本发明专利技术提供了一种识别软件种类的方法及系统,先在网络接入位置采集上网设备访问外部网络时产生的网络数据包,再获取所述网络数据包中包含的软件的特征码,之后根据所述特征码识别出与所述特征码相匹配的软件种类。因此,本发明专利技术所述识别软件种类的方法及系统,无需安装客户端,即可在网络接入位置采集网络数据包,在犯罪嫌疑人没有任何察觉的情况下就可以监控到其上网设备所安装的上网软件,提高了网络犯罪案件的侦破率。
【技术实现步骤摘要】
一种识别软件种类的方法及系统
本专利技术涉及一种数据采集处理技术,具体地说涉及一种识别软件种类的方法及系统。
技术介绍
基于国家安全的需要,在某些案件的侦破过程中需要识别某些上网设备所使用的软件种类。现有技术中,实现识别上网设备所使用的软件种类的方法,主要是通过在上网设备上安装客户端来实现的,比如杀病毒软件,防火墙个人版等。但这种安装客户端的方式的弊端是显而易见的,有很多有犯罪意图的犯罪嫌疑人往往具备很强的网络防侦查意识,不会随意安装客户端,当然也就无法通过安装客户端的方式来识别其上网设备所使用的软件种类了。
技术实现思路
为此,本专利技术所要解决的技术问题在于现有技术中需要在上网设备上安装客户端才能对上网设备所使用的软件种类进行识别。为解决上述技术问题,本专利技术的技术方案如下:本专利技术提供了一种识别软件种类的方法,包括:在网络接入位置采集上网设备访问外部网络时产生的网络数据包;获取所述网络数据包中包含的软件的特征码;根据所述特征码识别出与所述特征码相匹配的软件种类。本专利技术所述的识别软件种类的方法,所述在网络接入位置采集上网设备访问外部网络时产生的网络数据包包括:当网络接入位置为大型或者高速网络的主干节点时,采用数据镜像的方式采集上网设备访问外部网络时产生的网络数据包;当网络接入位置为局域网的出入口时,采用数据包嗅探的方式采集上网设备访问外部网络时产生的网络数据包。本专利技术所述的识别软件种类的方法,所述获取所述网络数据包中包含的软件的特征码包括:通过协议分析技术对所述网络数据包进行还原,获取原始数据;从所述原始数据中提取出所述特征码。本专利技术所述的识别软件种类的方法,所述根据所述特征码获取与所述特征码相匹配的软件种类包括:建立软件特征库,所述软件特征库中包含软件的特征码与软件种类间的对应关系;从所述软件特征库查询出与从采集的网络数据包中获取的软件的特征码相匹配的软件种类。本专利技术还提供了一种识别软件种类的系统,包括:采集单元,用于在网络接入位置采集上网设备访问外部网络时产生的网络数据包;特征码获取单元,用于获取所述网络数据包中包含的软件的特征码;识别单元,用于根据所述特征码识别出与所述特征码相匹配的软件种类。本专利技术所述的识别软件种类的系统,所述采集单元包括:第一采集子单元,用于当网络接入位置为大型或者高速网络的主干节点时,采用数据镜像的方式采集上网设备访问外部网络时产生的网络数据包;第二采集子单元,用于当网络接入位置为局域网的出入口时,采用数据包嗅探的方式采集上网设备访问外部网络时产生的网络数据包。本专利技术所述的识别软件种类的系统,所述特征码获取单元包括:还原子单元,用于通过协议分析技术对所述网络数据包进行还原,获取原始数据;提取子单元,用于从所述原始数据中提取出所述特征码。本专利技术所述的识别软件种类的系统,所述识别单元包括:特征库子单元,用于建立软件特征库,所述软件特征库中包含软件的特征码与软件种类间的对应关系;查询子单元,用于从所述软件特征库查询出与从采集的网络数据包中获取的软件的特征码相匹配的软件种类。本专利技术的上述技术方案相比现有技术具有以下优点:本专利技术提供了一种识别软件种类的方法及系统,先在网络接入位置采集上网设备访问外部网络时产生的网络数据包,再获取所述网络数据包中包含的软件的特征码,之后根据所述特征码识别出与所述特征码相匹配的软件种类。因此,本专利技术的识别软件种类的方法及系统,无需安装客户端,即可在网络接入位置采集网络数据包,在犯罪嫌疑人没有任何察觉的情况下就可以监控到其上网设备所安装的上网软件,提高了网络犯罪案件的侦破率。附图说明为了使本专利技术的内容更容易被清楚的理解,下面根据本专利技术的具体实施例并结合附图,对本专利技术作进一步详细的说明,其中图1是本专利技术所述识别软件种类的方法的步骤框图;图2是本专利技术所述识别软件种类的方法中各步骤的具体流程图;图3是本专利技术所述识别软件种类的系统的结构框图。图中附图标记表示为:1-采集单元,2-特征码获取单元,3-识别单元,11-第一采集子单元,12-第二采集子单元,21-还原子单元,22-提取子单元,31-特征库子单元,32-查询子单元。具体实施方式实施例1本实施例提供了一种识别软件种类的方法,如图1所示,包括:S1.在网络接入位置采集上网设备访问外部网络时产生的网络数据包;当上网设备上的软件运行并连接到外部网络时,就可以在网络接入位置采集到包含上网设备运行软件的特征码的网络数据包了。S2.获取所述网络数据包中包含的软件的特征码;S3.根据所述特征码识别出与所述特征码相匹配的软件种类。具体地,可以先存储采集的网络数据包,再对存储的网络数据包执行上述识别软件种类的操作以识别出上网设备运行的软件种类并存储;也可以先执行上述识别软件种类的操作,再将识别出的上网设备运行的软件种类进行存储。总之,对数据的存储可以在识别之前进行,也可以在识别之后进行,可以根据具体的网络环境选择适合的存储方式,方式灵活。本实施例所述识别软件种类的方法,无需安装客户端,即可在网络接入位置采集网络数据包,在犯罪嫌疑人没有任何察觉的情况下就可以监控到其上网设备所安装的上网软件,提高了网络犯罪案件的侦破率。优选地,如图2所示,所述步骤S1可以包括:S11.当网络接入位置为大型或者高速网络的主干节点时,采用数据镜像的方式采集上网设备访问外部网络时产生的网络数据包;采用数据镜像的方式可以把网络数据包复制存储起来用于后期的分析,适用于信息量大的情况,不会遗漏任何数据信息。S12.当网络接入位置为局域网的出入口时,采用数据包嗅探的方式采集上网设备访问外部网络时产生的网络数据包。采用数据包嗅探的方式可以接收一切通过局域网的出入口的网络数据包,而不管网络数据包是传输到哪里的,数据包嗅探常见的工作模式有镜像、桥接、网关等模式。优选地,可以将捕获到的网络数据包(数据流)按照一定规律进行筛选过滤,比如可以过滤掉木马很少使用的通信协议数据包,如DNS协议,SMTP协议等,以提高数据处理速度。优选地,如图2所示,所述步骤S2可以包括:S21.通过协议分析技术对所述网络数据包进行还原,获取原始数据,比如可以用TCP/IP协议分析技术或者UDP协议分析技术来对所述网络数据包进行还原来获取原始数据;S22.从所述原始数据中提取出所述特征码。具体地,步骤S21中,通过TCP/IP协议分析技术,可以对网络数据包进行还原,获取上网设备的ip、端口以及特征码等信息(原始数据),步骤S22中,从原始数据中就可以提取出上网设备运行软件的特征码了,非常便捷。优选地,如图2所示,所述步骤S3可以包括:S31.建立软件特征库,所述软件特征库中包含软件的特征码与软件种类间的对应关系;S32.从所述软件特征库查询出与从采集的网络数据包中获取的软件的特征码相匹配的软件种类。具体地,步骤S31中,可以先构建一个识别环境,对上网设备在运行某一软件访问外部网络时产生的网络数据包进行分析,记录辨别出能唯一描述该款软件的关键特征信息,作为特征码保存起来,重复采用上述方式,就可以建立起包含软件的特征码与软件种类间的对应关系的软件特征库了;步骤S32中,只要从网络数据包中提取到了与软件特征库中某一个软件种类相匹配的特征码,就可以判定上网设备中安装了该款软件,非常便捷。实施例2本本文档来自技高网...
【技术保护点】
一种识别软件种类的方法,其特征在于,包括:在网络接入位置采集上网设备访问外部网络时产生的网络数据包;获取所述网络数据包中包含的软件的特征码;根据所述特征码识别出与所述特征码相匹配的软件种类。
【技术特征摘要】
1.一种识别软件种类的方法,其特征在于,包括:在网络接入位置采集上网设备访问外部网络时产生的网络数据包,当网络接入位置为大型或者高速网络的主干节点时,采用数据镜像的方式采集上网设备访问外部网络时产生的网络数据包;筛选过滤掉所述网络数据包中木马病毒施种率低的网络数据包;获取所述网络数据包中包含的软件的特征码;根据所述特征码识别出与所述特征码相匹配的软件种类。2.根据权利要求1所述的识别软件种类的方法,其特征在于,所述在网络接入位置采集上网设备访问外部网络时产生的网络数据包还包括:当网络接入位置为局域网的出入口时,采用数据包嗅探的方式采集上网设备访问外部网络时产生的网络数据包。3.根据权利要求1所述的识别软件种类的方法,其特征在于,所述获取所述网络数据包中包含的软件的特征码包括:通过协议分析技术对所述网络数据包进行还原,获取原始数据;从所述原始数据中提取出所述特征码。4.根据权利要求1所述的识别软件种类的方法,其特征在于,所述根据所述特征码获取与所述特征码相匹配的软件种类包括:建立软件特征库,所述软件特征库中包含软件的特征码与软件种类间的对应关系;从所述软件特征库查询出与从采集的网络数据包中获取的软件的特征码相匹配的软件种类。5.一种识别软件种类的系统,其特征在于,包括:采集单元(1),用于在网络接入位...
【专利技术属性】
技术研发人员:孙伟力,隋海荣,
申请(专利权)人:北京盛世光明软件股份有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。